最后的提示 更新�����!一個沒有采用最新的安全補丁進行更新的系統會很快稱為攻擊者的目標���。
已經完成配置安全系統所需的所有工作之后�����,要記?����。篊GI腳本將是最大的安全隱患���。大多數成功的攻擊都是通過這些腳本實現的�����。簡明的建議是:最好使用那些公開發布并且已經被不同的網站使用了一段時間的CGI腳本��;如果管理員不得已需要寫一些CGI腳本程序的話,這些程序應該由其它人對其安全因素進行例行檢查���。
結論
一個非常安全且高可用的Web服務器――這似乎有些矛盾,但確實是很好的折中――能夠在短短45分鐘的時間內配置完��。當然您可以通過更多的工作以提高系統的安全級別��,但是這里配置的系統對大多數應用來說已經足夠了���。
Linux與安全的更多信息
如果您決定選用Linux�����,您應該感到慶幸�����,因為您可以免費使用非常多且優秀的安全程序,這是其它UNIX和Windows平臺所無法比擬的����。為找到合適的工具���,您會發現安全焦點[9]和包風暴(Packetstorm [10])是兩個比較好的起點���。
迄今為止,SuSE Linux是所有商用Linux發布中最專注與安全的。下面一些工具是SuSE所開發的����,您可以根據需要自由下載:
--------------------------------SuSE安全軟件------------------------------
---------------------------------------------------------------------------------
程序名稱(rpm)---功能-----------從哪一版本------能否運行-----下載地址-----------
-------------------------------開始包含在--------于其它發布
-------------------------------Linux發布中----------------
―――――――――――――――――――――――――――――――――――――――
FTP代理套件--一個非常--------6.3------------------http://proxy-suite.suse.de----
---------------安全的FTP---------------------------------------------------
---------------代理��,它還----------------------------------------------
(fwproxys)-----支持SSL--------------------------------------------
SuSE防火墻-----一個包過濾器---6.3-------http://www.suse.de/~marc-(betas)
---------------,能夠創建一----------------(如果是其它--------------------------
(firewals)------復雜的防火墻----------------發布,init.d------
-----------------系統并且非常----------------和startup腳本-------
------------------容易配置--------------------要重新調整)----------------------------
-------------------------------------------------------------------------
加固SuSE-------配置一個非常-----6.1------------否------------http://www.suse.de/~marc-(betas)----
---------------安全的SuSE------------------(專門為SuSE----------------------
(hardsuse)----------------------------------所設計)--------------
---------------------------------------------------------------
安全模塊-------一個防止symlink--6.3------------是-------------SuSE-FTP-server----
---------------,hardlink,-pipe-------------------------------------------------------
(secumod)------和許多其它安全策
-------------------略的內核模塊
----------------------------------------------------
安全檢查器-----每天對本地安全------6.2---------大部分--------------SuSE-FTP-server----
---------------進行一次例行檢----------------------------------------------------
(seccheck)-----查---------------------------------------------http://www.suse.de/~marc-(betas)------
Compartment----程序的安全包裝------計劃在------是-------------http://www.suse.de/~marc-(betas)
(-)------------器�����,支持chroot------7.0中采用----------------------------------
---------------ing�,特權和能力--------------------------------------------------------
---------------分配
--------------------------------------------------------------------
Auditdisk-(-)--安全產生校驗和------計劃在------是-------------現在還沒有發布beta版-------
---------------與Tripwire不同------7.0中采用---------------------------
---------------它不能被回避---------------------------------------------------
-------------------------------------------------------------------------------
SCSLogger------能夠記錄向內和------6.2---------是-------------SuSE-FTP-server---- ---------------向外連接日志的---------------------------------http://www.suse.de/~thomas-
(betas)-----------------------
(scslog)-------內核模塊-----------------------------------
----------------------------------------------------------
安全庫---------一個為程序員準------計劃在------是-------------http://www.suse.de/~thomas-(betas)
(-)------------備的函數庫,它------7.0中采用--------------------------------
---------------為不安全的函數----------------------------------------------------
---------------提供了安全功能---------------------------------------------------
---------------提示--------------------------------------------------------
CD上提供的其它安全程序還有:Nessus, Saint, nmap, PGP, GNU Privacy Guard, OpenSSH, Tripwire, FreeSWAN,等等。
另外�����,除隨SuSE Linux發布的操作手冊中廣泛深入地涉獵安全內容之外����,還有suse-security和suse-security-announce兩個郵件列表可供參考。
當然,也有其它的選擇。比如說Trustix[6] Linux發布就是新近出現的完全面向安全的產品����。令人失望的是���,這個發布還處在初級階段����。不過����,它的一個大約150 MB ISO文件的第一個Alpha已經提供下載了。
如果您不信任Linux�,那就看看OpenBSD [5]���。就在幾年前,人們為了安全問題逐行地檢查了NetBSD發布的程序��。通過比較關于Unix變種(當然還有Windows)的安全問題的消息的數量和質量���,人們發現OpenBSD是無可爭議的優勝者����。那么主要障礙是什么呢?其中的一個原因是應用軟件太少�。把所有的OpenBSD匯集在一起����,甚至還不能填滿一張CD����。其它需要集成到系統中的程序都需要用戶通過一種所謂的接口(ports)或者稱為引入(imported)的方法實現����。這些都沒能被驗證是安全的。另外一個問題是�����,它的代碼基礎是BSD,受Linux熱潮的影響����,BSD平臺已經不再是軟件工業的戰略目標���。但是���,OpenBSD在安全專家中間仍然有很好的口碑�。如果不需要運行一些特殊的軟件的話���,OpenBSD仍然是配置安全服務器的正確選擇�。
當然�����,也有很多商用的高度安全的Unix系統��。他們被稱為Trusted {Solaris, Irix, SCO, ...}。不同的系統實現了美國C2�、B1甚至B2安全標準����。這些系統除了非常昂貴以外�,其安全也根本沒有達到他們宣稱的那樣高。雖然安全標準的實現顯著地增強了系統的安全性�����,但受到缺少開放源碼和質量聲譽極佳的源碼的影響���,期望它100%的安全是不現實的(但還是要比Windows強很多)�。
